Angstmacher
Die Angstmacher
Die neuste Masche sind Trojaner, die den Rechner wegen eines angeblichen Vergehens sperren und erst nach einer Strafzahlung wieder freigeben wollen.
Das Wichtigste zuerst: Nicht zahlen! Die Täter sind Kriminelle, die nur kassieren wollen. Der Rechner wird von diesen Erpressern auch nach der Zahlung niemals wieder frei geschaltet.
Scareware (Ängstigen-Software) heißt der Ärger fachlich. Das Vorbild für alle Varianten dieser Masche ist der sogenannte BKA-Trojaner. Der ganze Bildschirm wird mit einem amtlich aussehenden Formular gefüllt, reich verziert mit Bundesadler, Polizeisymbol und Flaggenfarben. Oben steht als Titel so etwas wie „Ihr Computer wurde wegen Verstöße gegen die Gesetzgebung der Bundesrepublik Deutschland gesperrt“. Dem folgt ein Grund wie Pornographie oder gleich eine langen Liste diverser Vergehen samt Deutsch-Flops wie „Nutzung unzensierter Software“.
Nun kommt der wesentlich Satz: „Wir sprechen Ihnen daher eine Verwarnung aus und fordern Sie auf eine Geldstrafe in Höhe von 250 Euro, innerhalb von 3 tagen zu begleichen“. Neben solchen Tippfehlern fallen auch fehlende Kenntnisse deutscher Gegebenheiten auf. So droht diese Bundeskriminalpolizei damit, im Falle der Nichtzahlung die Sache an das BKA zu übergeben.
Es kann auch Bußgeld oder Mahngebühr heißen. Gesperrt wird immer mit der Begründung „Beweissicherung“ oder „Verhinderung weiterer Untaten“.
Wahrscheinlich sind andere Maschen effizienter. So wirft der Angstmacher mit dem GVU-Kopf (Verfolgung von Urheberrechtsverletzungen) den Opfern vor, illegal Musik oder Filme heruntergeladen zu haben, soll ja vorkommen. Auch die Scareware mit dem Microsoft-Logo, welche diesmal nicht die Anwender unzensierter, sondern unlizenzierter Windows- oder Office-Versionen zum Ziel hat, könnte Leute mit schlechtem Gewissen treffen.
Auch beliebt in Emails sind Links mit harmlosen Texten, die zu einer verseuchten Seite führen. Eine Variante läuft über Twitter. Das Ziel sind neuerdings Seiten, die einen kostenlosen Virenscan anbieten, angeblich von Norton oder Kasperski. Ein Klick auf den Start-Button und der Trojaner wird herunter geladen. Ein Fortschrittsbalken verkündet solange den Fortgang des angeblichen Scannens. Danach wird der Rechner geblockt und ein teures Tool zum Entfernen der Viren angeboten. Wer wirklich zahlt, wird auch hier mit seinem gesperrten Rechner sitzen gelassen.
Die Perversion auf die Spitze treiben Trojaner, die das Entfernen von Trojanern anbieten. Neben den großartigen Versprechungen steht dann gleich das Eingabefeld für Ukash und andere Anbieter, von denen man sein Geld nie zurück holen kann.
Es gibt nur hierzulande in 2012 bis Jahresmitte 20.000 Anzeigen, von denen 2000 Leute schon gezahlt haben. Da aber längst nicht jeder Anzeige erstattet, ist mindestens mit dem Zehfachen zu rechnen. Eine Anzeige bringt auch herzlich wenig, weil die Erpresser im Ausland sitzen und deshalb die Staatsanwaltschaften die Verfahren einstellen oder gar nicht erst eröffnen.
Wie erwischt es nun diese „Kunden“? Es gibt 3 Möglichkeiten. Ein Weg läuft über Pishing-Mail. Da kündigt zum Beispiel angeblich DHL ein Versandproblem an, Details im Anhang. Wer den Anhang öffnet, installiert den Trojaner. Wenn man so eine Mail an Millionen User verschickt, ist die Chance relativ groß, Leute zu erwischen, die tatsächlich auf ein Paket warten, nicht auf den Absender achten und einfach mal klicken.
Das klappt auch mit Gewinnbenachrichtigungen und Mails von diversen Institutionen.
Merke: Wenn der Anhang ein ZIP-Archiv ist, ist das Risiko besonders groß. Exe-Dateien würden nämlich schon vom Mail-Provider abgefangen. Deshalb lösche ich jede Mail, die ein ZIP-Archiv enthält, egal von wem, denn auch Absender lassen sich fälschen.
Der zweite Weg läuft über Downloads von kostenlosen Filmen oder Musik. Egal ob BitTorrent, Usenet oder File-Hoster, diese Quellen sind oft mit Trojanern verseucht. Auch die Suche nach den Codes für Windows oder den Passwörtern von beispielsweise MS-Office bringt oft genug nur Dateien, die Trojaner installieren.
Der dritte und häufigste Weg läuft über Sicherheitslücken. Besonders Java war ja vor einiger Zeit in den Schlagzeilen, doch kaum war der Patch verteilt, gab es schon die nächste Lücke. Deshalb sollte man Java in den Browsern immer abschalten und wer nicht gerade auf das Steuerprogramm „Elster“ angewiesen ist, kann auch Java insgesamt deinstallieren.
Insgesamt sollten Sie neue Lücken schnell schließen, zum Beispiel die des PDF-Readers von Adobe oder den Flash-Player. Auch Windows sollte immer auf dem neusten Stand gehalten werden, dito der Virenscanner.
Und wenn das Kind schon in den Brunnen gefallen ist? Der Trojaner nistet sich meistens in einem der Autostart-Einträge ein doch an die kommt man bei vielen Trojanern so leicht nicht mehr heran.
Den Aufruf des Task-Managers via Strg+Alt+Entf verhindert ein Eintrag in der Registrier-Datenbank. Und damit nicht etwa User mit etwas mehr PC-Kenntnissen das zurück ändern, wird auch RegEdit gesperrt. Damit ist Windows nicht mehr bedienbar, egal welche Tasten man drückt.
Dieses simple Konzept macht es den Virenscannern auch schwer Varianten zu erkennen. Denn ein Fenster anzeigen und ein paar Registry-Einträge setzen machen nahezu alle Programme.
Mit Hilfe einer Rettungs-CD oder im abgesicherten Modus kann man die Trojaner so weit entfernen, dass der Rechner wieder durchstartet und wichtige Daten gerettet werden können. Doch weil viele Trojaner weitere Änderungen einbauen, z.B. eine Hintertür, muss man Windows total neu installieren, Formatierung inklusive.
Fazit: Das Zahlen kann man sich sparen aber leider nicht die umfangreiche Reinigungsarbeit.
Das Wichtigste zuerst: Nicht zahlen! Die Täter sind Kriminelle, die nur kassieren wollen. Der Rechner wird von diesen Erpressern auch nach der Zahlung niemals wieder frei geschaltet.
Scareware (Ängstigen-Software) heißt der Ärger fachlich. Das Vorbild für alle Varianten dieser Masche ist der sogenannte BKA-Trojaner. Der ganze Bildschirm wird mit einem amtlich aussehenden Formular gefüllt, reich verziert mit Bundesadler, Polizeisymbol und Flaggenfarben. Oben steht als Titel so etwas wie „Ihr Computer wurde wegen Verstöße gegen die Gesetzgebung der Bundesrepublik Deutschland gesperrt“. Dem folgt ein Grund wie Pornographie oder gleich eine langen Liste diverser Vergehen samt Deutsch-Flops wie „Nutzung unzensierter Software“.
Nun kommt der wesentlich Satz: „Wir sprechen Ihnen daher eine Verwarnung aus und fordern Sie auf eine Geldstrafe in Höhe von 250 Euro, innerhalb von 3 tagen zu begleichen“. Neben solchen Tippfehlern fallen auch fehlende Kenntnisse deutscher Gegebenheiten auf. So droht diese Bundeskriminalpolizei damit, im Falle der Nichtzahlung die Sache an das BKA zu übergeben.
Es kann auch Bußgeld oder Mahngebühr heißen. Gesperrt wird immer mit der Begründung „Beweissicherung“ oder „Verhinderung weiterer Untaten“.
Wahrscheinlich sind andere Maschen effizienter. So wirft der Angstmacher mit dem GVU-Kopf (Verfolgung von Urheberrechtsverletzungen) den Opfern vor, illegal Musik oder Filme heruntergeladen zu haben, soll ja vorkommen. Auch die Scareware mit dem Microsoft-Logo, welche diesmal nicht die Anwender unzensierter, sondern unlizenzierter Windows- oder Office-Versionen zum Ziel hat, könnte Leute mit schlechtem Gewissen treffen.
Auch beliebt in Emails sind Links mit harmlosen Texten, die zu einer verseuchten Seite führen. Eine Variante läuft über Twitter. Das Ziel sind neuerdings Seiten, die einen kostenlosen Virenscan anbieten, angeblich von Norton oder Kasperski. Ein Klick auf den Start-Button und der Trojaner wird herunter geladen. Ein Fortschrittsbalken verkündet solange den Fortgang des angeblichen Scannens. Danach wird der Rechner geblockt und ein teures Tool zum Entfernen der Viren angeboten. Wer wirklich zahlt, wird auch hier mit seinem gesperrten Rechner sitzen gelassen.
Die Perversion auf die Spitze treiben Trojaner, die das Entfernen von Trojanern anbieten. Neben den großartigen Versprechungen steht dann gleich das Eingabefeld für Ukash und andere Anbieter, von denen man sein Geld nie zurück holen kann.
Es gibt nur hierzulande in 2012 bis Jahresmitte 20.000 Anzeigen, von denen 2000 Leute schon gezahlt haben. Da aber längst nicht jeder Anzeige erstattet, ist mindestens mit dem Zehfachen zu rechnen. Eine Anzeige bringt auch herzlich wenig, weil die Erpresser im Ausland sitzen und deshalb die Staatsanwaltschaften die Verfahren einstellen oder gar nicht erst eröffnen.
Wie erwischt es nun diese „Kunden“? Es gibt 3 Möglichkeiten. Ein Weg läuft über Pishing-Mail. Da kündigt zum Beispiel angeblich DHL ein Versandproblem an, Details im Anhang. Wer den Anhang öffnet, installiert den Trojaner. Wenn man so eine Mail an Millionen User verschickt, ist die Chance relativ groß, Leute zu erwischen, die tatsächlich auf ein Paket warten, nicht auf den Absender achten und einfach mal klicken.
Das klappt auch mit Gewinnbenachrichtigungen und Mails von diversen Institutionen.
Merke: Wenn der Anhang ein ZIP-Archiv ist, ist das Risiko besonders groß. Exe-Dateien würden nämlich schon vom Mail-Provider abgefangen. Deshalb lösche ich jede Mail, die ein ZIP-Archiv enthält, egal von wem, denn auch Absender lassen sich fälschen.
Der zweite Weg läuft über Downloads von kostenlosen Filmen oder Musik. Egal ob BitTorrent, Usenet oder File-Hoster, diese Quellen sind oft mit Trojanern verseucht. Auch die Suche nach den Codes für Windows oder den Passwörtern von beispielsweise MS-Office bringt oft genug nur Dateien, die Trojaner installieren.
Der dritte und häufigste Weg läuft über Sicherheitslücken. Besonders Java war ja vor einiger Zeit in den Schlagzeilen, doch kaum war der Patch verteilt, gab es schon die nächste Lücke. Deshalb sollte man Java in den Browsern immer abschalten und wer nicht gerade auf das Steuerprogramm „Elster“ angewiesen ist, kann auch Java insgesamt deinstallieren.
Insgesamt sollten Sie neue Lücken schnell schließen, zum Beispiel die des PDF-Readers von Adobe oder den Flash-Player. Auch Windows sollte immer auf dem neusten Stand gehalten werden, dito der Virenscanner.
Und wenn das Kind schon in den Brunnen gefallen ist? Der Trojaner nistet sich meistens in einem der Autostart-Einträge ein doch an die kommt man bei vielen Trojanern so leicht nicht mehr heran.
Den Aufruf des Task-Managers via Strg+Alt+Entf verhindert ein Eintrag in der Registrier-Datenbank. Und damit nicht etwa User mit etwas mehr PC-Kenntnissen das zurück ändern, wird auch RegEdit gesperrt. Damit ist Windows nicht mehr bedienbar, egal welche Tasten man drückt.
Dieses simple Konzept macht es den Virenscannern auch schwer Varianten zu erkennen. Denn ein Fenster anzeigen und ein paar Registry-Einträge setzen machen nahezu alle Programme.
Mit Hilfe einer Rettungs-CD oder im abgesicherten Modus kann man die Trojaner so weit entfernen, dass der Rechner wieder durchstartet und wichtige Daten gerettet werden können. Doch weil viele Trojaner weitere Änderungen einbauen, z.B. eine Hintertür, muss man Windows total neu installieren, Formatierung inklusive.
Fazit: Das Zahlen kann man sich sparen aber leider nicht die umfangreiche Reinigungsarbeit.
Autor:
WoSoft
Peter Wollschlaeger
Artikel Teilen
Artikel kommentieren